电商平台安全_跨境电商有哪些平台

电商平台安全_跨境电商有哪些平台电商网站安全之威胁一、越权操作凡是仅靠传入参数就进行数据库查询的功能即存在越权。越权类型:1、平行越权(订单,留言,送货地址,修改信息,修改密码…)2、垂直越权(修改信息,修改密码,创建用户..)3、越权查询4、越权修改5、直接越权6、间接越权7、……越权操作的危害:泄漏用户数据,非法篡改他人业务,权限提升。无法通过WAF以及常规手段发现。越权形式影响越权查看订单/保单订单数据…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

电商网站安全之威胁

(电商网站安全(二)
https://blog.csdn.net/qq_29039705/article/details/80486880

一、越权操作

凡是仅靠传入参数就进行数据库查询的功能即存在越权。
越权类型:
1、平行越权(订单,留言,送货地址,修改信息,修改密码…)
2、垂直越权(修改信息,修改密码,创建用户..)
3、越权查询
4、越权修改
5、直接越权
6、间接越权
7、… …
越权操作的危害:
泄漏用户数据,非法篡改他人业务,权限提升。
无法通过WAF以及常规手段发现
越权形式
影响
越权查看订单/保单
订单数据泄露,用户数据遭到非法交易。
越权查看地址
用户基本信息泄露,可用来非法交易。
越权查看留言
严重泄露用户隐私,可进行诈骗,钓鱼灯非法行为。
越权查询交易记录
交易信息泄露,可用来非法交易。
越权修改个人信息
越权篡改密码保护问题、绑定手机号等,非法进入他人账户。
二、金额篡改
类型
1、交易总金额
2、单价
3、商品数量
4、分期数量
5、正负对冲
6、负值反冲
危害
直接造成经济损失,
无法通过WAF发现,但可通过二次校验及人工确认的方式发现。
篡改形式
影响
篡改金额
直接篡改单价或总金额,低价完成交易。
篡改数量
篡改数量为低价或负数,可能造成负充或低价完成交易。
篡改积分
由于积分允许负值,极有可能造成负充。
篡改产品参数
可增加产品价值,如增加分期数,增加投保时间等。
多参数篡改
如存在多个价格参数,只要有一个可篡改,即可构造对充订单。
三、常见逻辑缺陷
类型
1、短息验证码前端回传
2、短信验证码可预测
3、受限商品重复购买
4、单点登录篡改
5、安全限制绕过
四、撞库
撞库示意图
电商平台安全_跨境电商有哪些平台
五、暴力激活成功教程
暴力激活成功教程形式
防护现状及方法
固定用户名遍历密码
常规攻击手法,可采用用户名锁定机制,验证码机制以及控件进行防护。
固定密码遍历用户名
常见于采用交易号登陆的电商网站,可采用验证码机制以及控件进行防护。
用户名密码成对匹配
撞库采用的方法,可采用验证码机制以及控件进行防护。
六、内网渗透–木桶效应的终极体现
内网渗透充分体现了木桶效应的精髓:
安全不在于它做得好的方面有多好,而在于做得差的方面有多差。
常见的脆弱入口
  • 脆弱的子域名
  • 开发人员的测试系统
  • VPN或其它内网接入点
  • 废弃的网站系统
  • 对外开发的管理平台
  • 含有弱口令的控制台
  • 网络设备
七、内网安全缺失
  1. 无补丁管理
  2. 无终端管理
  3. 无上行为管理
  4. 无入侵检测机制
  5. 无安全准入机制
八、社会工程-Google Hacking
1、Google Hacking:利用搜索引擎输入特定语法、关键字查找可利用的渗透点,做种完成入侵。
敏感信息包括:
  • 目标站点信息
  • 存储密码的文件
  • 后台管理和上传文件的Web页
  • 数据库
  • 特定扩展名文件
  • 特定的Web程序,如论坛
2、Google Hacking防御


Copyright © 2018 Ansel. All rights reserved.
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/187153.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号